Opublikowano wersje korygujące X.Org Server 21.1.5 i xwayland 22.1.6, komponent DDX (Device-Dependent X), który umożliwia uruchomienie X.Org Server w celu zorganizowania wykonywania aplikacji X11 w środowiskach opartych na Wayland. Nowe wersje usuwają 6 luk, które można potencjalnie wykorzystać do eskalacji uprawnień w systemach, w których działa serwer X jako root, a także do zdalnego wykonania kodu w konfiguracjach korzystających z przekierowania sesji X11 przez SSH w celu uzyskania dostępu.
- CVE-2022-46340 – Przepełnienie stosu podczas przetwarzania żądań XTestSwapFakeInput z danymi większymi niż 32 bajty przekazywanymi do pola GenericEvents.
- CVE-2022-46341 Podczas przetwarzania żądań XIPassiveUngrab wywoływanych z dużymi wartościami kodu klawisza lub przycisku następuje dostęp do bufora poza dopuszczalnym zakresem.
- CVE-2022-46342 – dostęp do pamięci po zwolnieniu poprzez manipulację żądaniami XvdiSelectVideoNotify.
- CVE-2022-46343 – dostęp do pamięci po zwolnieniu poprzez manipulację żądaniami ScreenSaverSetAttributes.
- CVE-2022-46344 Dostęp do danych poza dopuszczalnym zakresem podczas przetwarzania żądań XIChangeProperty z dużymi parametrami.
- CVE-2022-46283 – dostęp do pamięci po zwolnieniu poprzez manipulację żądaniem XkbGetKbdByName.
Źródło: opennet.ru